Unbeobachtet Mails lesen: So schützt Ihr Euch gegen Tracking-Pixel in Newslettern und Co.

Viele Dienste zum Versand von Newslettern verwenden Tracking-Pixel, um Euer Verhalten zu analysieren: Abrufzeit der E-Mail, Absprungrate, angeklickte Links, Standort. Hier erfahrt Ihr, wie das funktioniert, warum Ihr euch dagegen wehren solltet und was Ihr tun könnt.

Symbolbild
Viele viele Trackingpixel. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Vlad Tchompalov

Ping. Da kommt ein Newsletter in Euer digitales Postfach. Einen Klick später seid ihr hoffentlich ein bisschen schlauer. Auf jeden Fall schlauer sind nach Eurem Klick die Absender des Newsletters. Sie wissen, um wie viel Uhr und wo auf der Erde Ihr die E-Mail geöffnet habt. Sie wissen, auf welche Links aus dem Newsletter Ihr geklickt habt und welches E-Mail-Programm ihr verwendet. Je nach Newsletter-Dienst wissen Sie noch mehr. Klingt gruselig, ist aber Alltag im E-Mail-Marketing.

Viele professionelle Newsletter werden mit der Software spezieller Dienstleister verschickt. Diese bieten ganz unterschiedliche Leistungen an. Tracking der Leser:innen gehört fast immer dazu. Den einen geht es darum, günstig zu sein. Andere werben damit, dass sie Besucher:innen mithilfe einzelner „Tags“ auch außerhalb der E-Mail auf der Webseite des Versenders verfolgen können. Wieder andere ermöglichen sogenanntes A/B-Testing, bei dem ähnlichen Zielgruppen verschiedene Inhalte präsentiert werden, um beispielsweise den Erfolg unterschiedlicher Formulierungen zu testen.

1 Pixel × 1 Pixel = ∞ Tracking

In der Regel verwenden diese Anbieter HTML-E-Mails: Sprich, sie betten den anzuzeigenden Text in HTML-Kodierungen ein, sodass die E-Mail hübscher wird und weitere Gestaltungselemente bekommt. So können auch Bilder via HTML-Code eingebunden werden. Die Grafik kann entweder der E-Mail angehangen oder extern nachgeladen werden.

Fast allen Newsletter-Diensten gemein ist der Einsatz so genannter „Tracking-Pixel“. Sie werden auf die oben beschriebenen Weise über HTML-Kodierungen eingebunden und beim Öffnen der E-Mail von einem externen Server nachgeladen. Diese Tracking-Grafiken sind meist ein Pixel mal ein Pixel groß oder auch komplett versteckt. Für jede:n Leser:in wird der Grafik zudem ein einzigartiger Identifier hinzugefügt, der es ermöglicht, das Verhalten individuellen Profilen zuzuordnen. So könnte ein Link dementsprechend aussehen:

https://newsletterversand.domain/trackingpixel.gif?identifier=123456789

Folglich kann der Server, von dem das Pixel geladen wird, Euer Verhalten analysieren. Ein Programm auf dem Server speichert: Wann wurde genau dieser Link das erste Mal abgerufen? Und von wo? Daraus lässt sich auch ermitteln, welche Links aus dem Newsletter Ihr anklickt und somit auch Eure genaueren Interessen. Über die IP-Adresse wird Euer vermeintlicher Aufenthaltsstandort ausgelesen.

Optimierung für die maximale Wirkung

Nicht nur Newsletter-Dienste wie CleverReach, MailChimp und Mailjet könnten Euch auf diese Weise überwachen. Dies trifft auch auf andere Angebote zu: So sorgte gerade das neue E-Mail-Programm „Superhuman“ für Entrüstung, weil es standardmäßig in allen ausgehenden E-Mails für seine Kund:innen Tracking-Pixel einbaut.

Vielen Nutzer:innen ist gar nicht bewusst, wie viel die Absender von Newslettern und vielen anderen kommerziellen Aussendungen über ihr Verhalten lernen können. Doch selbst wenn sie es wüssten: Wir sollten E-Mails lesen können, ohne uns Gedanken darüber machen zu müssen, in welches Raster wir fallen. Mit Tracking-Pixeln geschieht genau dies. Menschen, auch wenn Ihr sie sympathisch findet und ihren Newsletter abonniert, hinterfragen Euer Handeln und analysieren es, um ihre Kommunikation zu optimieren. Wobei optimieren hier heißt: Sie soll immer noch ein bisschen mehr so gestaltet werden, dass sie bei Euch die gewünschte Reaktion auslöst. Sei es der Klick auf einen Link, das Abonnement eines weiteren Newsletters, der Kauf eines T-Shirts oder die Überweisung einer Spende in der gewünschten Höhe.

Solange das E-Mail-Tracking in der jetzigen, intransparenten Form nicht rechtlich unterbunden wird, hilft nur Hilfe zur Selbsthilfe. Es gibt nicht viele Möglichkeiten, sich gegen Tracking-Pixel zu schützen, aber eine sehr effiziente: Das Nachladen von externen Inhalten wie Grafiken zu unterbinden. Einige E-Mail-Programme machen das für euch automatisch. Dazu gehören quelloffene Programme wie Claws, Mutt und das weit verbreitete Thunderbird. Für andere gängige Mail-Programme gibt es meist die Option, das Nachladen von externen Inhalten und damit auch der Tracking-Pixel zu verhindern. Wir zeigen euch, wie es geht:

Tipps für Outlook, Apple Mail und Gmail

  1. Trick für Apple Mail
  2. Trick für iOS-App Mail
  3. Trick für Microsoft Outlook
  4. Trick für die Android-App Microsoft Outlook
  5. Trick für die Webseite Gmail
  6. Trick für die Android-App Gmail

Trick für Apple Mail

Für die Desktop-Software „Apple Mail“ könnt Ihr folgenden Trick anwenden, um externe Grafiken nicht zu laden und das Pixel-Tracking zu unterbinden:

  1. In die Software-Einstellungen gehen.
  2. Auf „Darstellung“ klicken
  3. Haken bei „Entfernte Inhalte in Nachrichten laden“ entfernen.
Screenshot Apple Mail
So geht der Trick bei Apple Mail.

Für die iOS-App „Mail“ könnt Ihr folgenden Trick anwenden, um externe Grafiken nicht zu laden und das Pixel-Tracking zu unterbinden:

  1. In die System-Einstellungen gehen.
  2. Auf „Mail“ klicken.
  3. Schalter bei „Entfernte Bilder laden“ umlegen, sodass er grau wird.
Screenshot Mail bei iOS
So geht der Trick bei der iOS-App Mail.

Trick für Outlook

Für die Desktop-Software „Microsoft Outlook“ könnt Ihr folgenden Trick anwenden, um externe Grafiken nicht zu laden und das Pixel-Tracking zu unterbinden:

  1. Auf den Datei-Reiter ganz oben links klicken.
  2. In die Einstellungen gehen und dort auf Optionen klicken.
  3. Auf „Trust-Center“ und dann „Automatischer Download“ klicken.
  4. Haken überall setzen, wie auf dem Bildschirmfoto angezeigt.
Screenshot Microsoft Outlook
So geht der Trick bei Microsoft Outlook.

Für die Android-App „Microsoft Outlook“ könnt Ihr folgenden Trick anwenden, um externe Grafiken nicht zu laden und das Pixel-Tracking zu unterbinden. Hierbei müsst ihr diese Schritte für jedes Mail-Konto einzeln machen:

  1. In die Einstellungen gehen.
  2. Auf das Konto klicken.
  3. Schalter bei „Externe Bilder blockieren“ so umlegen, dass er blau wird.
Screenshot Outlook-App
So geht der Trick bei der Outlook-Android-App.

Trick für Gmail

Für die Webseite „Gmail“ könnt Ihr folgenden Trick anwenden, um externe Grafiken nicht zu laden und das Pixel-Tracking zu unterbinden:

  1. Über das Rädchen oben rechts in die Einstellungen gehen.
  2. Herunterscrollen zu „Bilder“.
  3. „Vor dem Anzeigen externer Bilder fragen“ auswählen.
Screenshot Gmail
So geht der Trick bei der Gmail-Webseite.

Für die Android-App „Gmail“ könnt ihr folgenden Trick anwenden, um externe Grafiken nicht zu laden und das Pixel-Tracking zu unterbinden. Hierbei müsst ihr diese Schritte für jedes Mail-Konto einzeln machen:

  1. Über das Rädchen in die Einstellungen gehen.
  2. Jeweils das Konto auswählen.
  3. Herunterswipen zu „Bilder“.
  4. „Vor dem Anzeigen externer Bilder fragen“ auswählen.
Screenshot Gmail-App
So geht der Trick bei der Android-App Gmail.

no tracking, no paywall

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Uns fehlen in diesem Jahr noch rund 106.000 Euro zum Erreichen unseres Spendenziels und zur Ausfinanzierung unserer Arbeit in 2019.

Mit Deiner [ Spende ] können wir das schaffen und noch bessere Arbeit machen.

27 Ergänzungen
  1. Schöner Hinweis, aber wird dadurch nicht die Nutzbarkeit der E-Mail stark eingeschränkt, wenn keine Bilder mehr angezeigt werden. Wir benötigen neue Ansätze um eine größere Akzeptanz zu schaffen: z.B. Nicht geladene Bilder auf verteilen Servern sofort vorladen und per Cache dem Nutzer über einen Dienst zur verfügung stellen oder vielleicht sogar rechtliche Schritte: was ist mit dem Postgeheimnis?

    1. Sobald Bilder extern vorgeladen werden, bekommt das der Server mit, von dem aus sie geladen werden.

      Es besteht für alle Bilder-Versender die Möglichkeit, das Bild in den Anhang zu packen. Trotzdem kann es dank multipart-mime auch „inline“ dargestellt werden. Das genügt für alle Newsletter, wer trotzdem extern lädt will seine Nutzer tracken.

  2. Eine wirksame Einwilligung in derartige Datenerhebung sollte doch nicht so einfach hinzubekommen sein. Habt Ihr mal überlegt, wie die aussehen müsste? Dann könntet Ihr Leser:innen aufrufen, solche Newslettermails an Euch weiterzuleiten und die Anbieter, ihre Datenschutzklauseln und die Newsletter mal genauer anschauen.

    Beispiel 1: Die sehr geschätzten Leute von uebermedien.de verwenden die Plattform Steady, um Abos (https://uebermedien.de/abo/) zu verwalten. Steady verwendet Mailchimp als Newsletterdienst (https://steadyhq.com/de/privacy), womit dann ein wöchentlicher Newsletter verschickt wird. Der Newsletter hat die im Artikel geschilderten Eingenschaften und ich sehe nicht, wo ich als Abonnent überhaupt in eine derartige Datennutzung eingewilligt hätte.

    Beispiel 2: Der Checkpoint des Tagesspiegels (https://checkpoint.tagesspiegel.de/) ist als Nur-Text gar nicht im Thunderbird lesbar. Die »vereinfachte Ansicht« enthält fast ausschließlich (wahrscheinlich personalisierte) Links über die Domain rdir-857.de, die zu https://www.agnitas.de/ gehört. Die Datenschutzerklärung (https://www.tagesspiegel.de/service/verlag-der-tagesspiegel-datenschutzerklaerung/22603436.html) des Tagesspiegels dürfte für eine Erhebung personalisierter Nutzungsstatistiken auch nicht ausreichen. Wenn man davon ausgeht, dass Agnitas seine eigene Plattform verwendet, ist deren Datenschutzerklärung viel deutlicher: https://www.agnitas.de/datenschutzerklaerung/#newsletter.

    Beispiel 3: Die im Zusammenhang mit dem Newsletter von den Grünen präsentierte Datenschutzerklärung (https://www.gruene.de/service/informationen-zum-datenschutz-gruene-mitmach-aktionen) ist m.E. auch eher schaurig: Man verwendet einen amerikanischen Anbieter, von dem nicht klar ist, ob er zu dem Zweck in Europa speichert oder zugesichert hat, nach europäischen Standards zu verarbeiten. Letzteres dürfte nicht möglich sein. Natürlich ist man auch am Nutzungsverhalten interessiert.

    Beispiel 4: Payback – um mal einen Anbieter zu nennen, den viele Leser:innen hier als kritisch einschätzen würden – weist auf eine pseudonymisierte Erhebung von Nutzungsinformationen wenigstens hin (https://www.payback.de/info/datenschutz-email). Wenn man die Einwilligung für Nutzung zur Marktforschung widerruft konnte man früher (glaube ich) die eCoupons nicht mehr nutzen, das scheint so nicht mehr zuzutreffen. (Wäre m.E. auch rechtswidrig, wegen Koppelungsverbot.)

  3. Was man vielleicht noch erwähnen sollte, dass es in der ja sehr populären Gmail App auf iOS Google keine solche Option anbietet. Als G Suit Kunde (wo man ja von Google richtigen Support etwa auch per Hotline erhält) habe ich da mehrfach mich danach erkundigt und mir wurde bestätigt, dass das Nachladen externer Inhalte mit deren Gmail iOS App nicht möglich ist. Ich halte das für geradezu skandalös und bin darum von G Suit weggegangen, habe aber auch nie irgendwo dazu mal einen größeren Artikel gelesen und auch hier wurde dieser Punkt nun auch wieder nicht hervorgehoben.

    1. > mir wurde bestätigt, dass das Nachladen externer Inhalte mit deren Gmail iOS App nicht möglich ist.
      > Ich halte das für geradezu skandalös

      Wirklich? oder habe ich den Witz nicht verstanden?
      ;-)

      Schönen Abend

  4. Programmauswahl?!

    Das thema ist wichtig und gut. Aber eure Auswahl scheint sehr seltsam. Rat nummer 1 muesste sein. Software zu verwenden, der man vertrauen kann. Und das kann bei diesem Thema sicher nicht Software vom groessten Werbekonzern der Welt sein.

    Ich haette hier mindestens Thunderbird in der Liste erwartet und vermutlich gibt es fuer Android such gute Floss E-Mail Apps

    1. Hej, scroll bitte nochmal hoch. Wir verweisen u.a. auf Claws, Mutt und Thunderbird, die die unten genannten Einstellungen automatisch umsetzen.

      1. Schande ueber mich!

        ich habe tatsaechlich ein paar Absaetze ueberscrollt (da mir das thema bekannt ist) und bin direkt zu den fuer mich relevanten Programmen gewechselt.
        Ich nehme jedoch an, dass ich Nicht der Einzige bin, der so verfaehrt darum. Faende ich es sehr sinvoll die Datenschutzfreundlichen Programme auch in die Liste aufzunehmen. Zu optimieren gibt es da wohl auch und falls nicht ist das auch eine wichte Info.

        1. Ich möchte hier in die gleiche Kerbe schlagen und denke nicht, dass sich der Kommentator „Wuestenschiff“ für irgendetwas entschuldigen müsste.

          Artikel haben eine Struktur, und die hat genau den Zweck, Schnell-Lesen und Überspringen zu ermöglichen (plus besserere Übersichtlichkeit für die, die es vollständig lesen). Zur Struktur gehören Sätze, Absätze und vorallem Überschriften.

          Dieser Artikel nennt die guten Alternativen recht versteckt in einem einzigen Satz innerhalb eines Absatzes. Sie sind lediglich dadurch hervorgehoben, dass es Links sind. Die weniger guten Alternativen erhalten jeweils eine fette Überschrift, einen dedizierten Abschnitt und darin jeweils mehrfache Erwähnung. Auf den ersten Blick (ohne vollständiges Lesen) entsteht so der Eindruck, man sollte sich unbedingt Outlook, Apple Mail oder Gmail zulegen, und diese dann entsprechend konfigurieren. Dieser Eindruck ist hoffentlich nicht von netzpolitik.org intendiert.

          Egal, ob Absicht oder nicht: In jedem Fall ist diese Form der Darstellung unfair gegenüber Claws, Mutt und Thunderbird.

          Verbesserungsvorschlag: Die guten Alternativen sollten ebenfalls einzelne Überschriften erhalten. Und sei es nur, um jeweils in 1-2 Sätzen darauf hinzuweisen, dass diese per Voreinstellung nutzer- und datenschutzfreundlich sind. Und wohin man spenden kann, um diese hervorragenden Optionen weiter zu unterstützen. Danach erst sollte die Aufmerksamkeit auf die fragwürdigen Mailprogramme mitsamt entsprechender Workarounds gelegt werden.

          1. Hallihallo. Vielen Dank für Deine Ergänzung. Wir haben den Text an der Stelle angepasst, sodass die Annahme, Thunderbird sei unfrei, nicht mehr suggeriert wird.

            Des weiteren möchte ich betonen, dass ich weder eine Entschuldigung erwartete, noch finde, dass eine zu erfolgen hätte. Gerne weiter in Kerben schlagen.

          2. Danke für die schnelle Antwort, aber ich verstehe sie nicht. Mein Verbesserungsvorschlag war, Claws, Mutt und Thunderbird mindestens genauso viel Sichtbarkeit wie den anderen Mailprogrammen zu heben. Was hat das mit irgendeiner suggerierten Annahme zu tun?

          3. @Christina Schneider
            Der Artikel ist wirklich nicht lang, keine Ahnung warum Sie so eine Obsession haben, daß der Artikel für die ganz Blöden nochmal explizit auf die Mailprogramme hinweisen muß.

  5. Ich habe ja HTML in E-Mails ganz abgeschaltet. Trotzdem bekomme ich einen Newsletter, in dem regelmäßig interessante Links gepostet werden. Aber statt direkt die URL anzugeben, sind das indirekte Verweise, die über deren Server laufen und auch eine Identifikation enthalten. Auf sowas muss man auch achten!

    Nun, zumindest kann man seine private IP-Adresse, bzw. seinen Aufenthaltsort verbergen, indem man sowas nur über den Tor-Browser aufruft.

    1. Es ist egal, ob du hinter sieben Proxys oder Tor sitzt, wenn du eine personalisierte URL ansurfst. Diese enthält eine ID, welche fest mit deiner E-Mail-Adresse gekoppelt ist. Somit erreicht den Versender die Information, dass Person X mit der E-Mail-Adresse X@Y.Z den Link angeklickt hat, sprich die Mail gelesen hat. Ferner existiert nun sogar noch die Information, dass Tor genutzt wurde, welches durchaus interessanter ist, als wenn es von einem T-Uffline-Anschluss kommt.

  6. Als inhaltliche Ergänzung mal noch mehr als einen Gedanken dazu:

    – Über welche Art Mail sprechen wir denn hier hauptsächlich? Newsletter. Werbemails.
    – Warum muss es denn immer wieder eine Krücke sein, der man sich mit (ein/jed)-em Versionswechsel des Mailclient entweder nicht mehr bedienen kann oder die erneut konfiguriert werden muss?

    u.a. @Andre:
    – In allen Diskussionen zum Thema Mail höre ich – wie hier eben auch – „Ich brauche die Bilder“ Auch höre ich regelmäßig wie schön bunt es sein muss. Da werden animierte gifs in die Signatur gesteckt, die nicht mal richtig gekennzeichnet ist etc

    Also was brauchen wir?
    Einen Mail-Client der
    – grundsätzlich in Multipart die Textvariante liest.
    – html passiviert und als reinen Text ausgibt.
    – Bilder anzeigt.
    Er sollte auch mehrere Mailkonten und gängige (Sicherheits-)Protokolle können?
    Filter und externe Anwendungen?
    Aktive Unterstüzung von GPG?
    Wenn möglich das Ganze sowohl unter Windows, Apple, als auch Linux, BSD o.ä.?

    Und ja, @Netzbürger hat Recht und dagegen hilft dann auch kein reiner textbasierter MUA.

    Dann bitte hier ein Lösungsansatz: Sylpheed
    Nicht täuschen lassen vom Changelog.

    Na dann.

  7. Mit ist eine äußerst ungeschickte Formulierung aufgefallen:

    „Dazu gehören die quelloffenen Programme Claws und Mutt, aber auch das mehr verbreitete Thunderbird.“

    Diese Formulierung suggeriert, dass Thunderbird nicht quelloffen sei. Jedoch steht Thunderbird nicht nur unter freier Lizenz und der Quellcode ist für jeden einsehbar. Zudem ist die Community sogar äußerst freundlich und offen gegenüber Menschen, die mitmachen wollen. Es gibt zum Beispiel eine separate Seite, in Schritt für Schritt beschrieben ist, wie man an den Quelltext kommt und damit arbeiten kann, und wohin man sich bei weiteren Fragen wenden kann:

    https://developer.thunderbird.net/

  8. Ich hätte vielleicht auch gedacht, Infos zu etwas kleineren und privacy-freundlichen Email-Anbietern zu finden, zB Posteo, Protonmail, etc.

    Hier die Anleitung für Protonmail (website):
    * Obere Leiste > Settings, dann
    * Liste linker Rand > Account, dann
    * runterscrollen bis Email-Content, dort
    * „Load remote content“ auf „manual“ klicken UND
    * „Load embedded images“ auf „manual“ klicken.

    Es gibt auch Apps für Smartphones, die ich aber nicht benutze. Hier sind die Anleitungen auf der PM-Support page: https://protonmail.com/support/knowledge-base/images-by-default/

    1. Danke für’s teilen der Anleitung für Protonmail! Wir können in unseren Artikeln ja leider nicht auf alles eingehen, was wir wichtig oder wünschenswert finden. Wir haben jetzt einfach die wohl am weitestverbreiteten Clients genommen – auch in der Hoffnung, dass die Menschen, die sich schon für privacy-freundliche Mailanbieter entscheiden, selbst die Motivation und das KnowHow aufzubringen, sich darum zu kümmern.

      1. Fragt doch mal die Webmail-Anbieter direkt, wie deren Einstellungen zu handhaben sind, wenn man externe Inhalte nicht nachladen lassen will, bzw. wie die Anbieter das Tracking der User behandeln und welche Möglichkeiten Sie bieten dieses aktiv zu unterbinden..

        Beim Aufruf von GMX ohne Scripte kommt man in eine spartanische Aufmachung, mit einer vorgeschalteten Warnmeldung, das man doch den GMX-Browser nehmen sollte. Aber dann kann man sehr gut „privacy“ lesen und auch schön im reinen Text antworten wenn nötig.

        Grüße

  9. Wenn im Adblocker gewisser Trackingschutz aktiv ist, dann sind dort in der Regel auch Trackingpixel mit einbegriffen. Wer also statt nur auf Werbung zu setzen im Adblocker noch weiter geht der sollte das Problem erst gar nicht haben

  10. Danke für die praktischen Anleitungen im eigenen Browser,, aber spannender fände ich es ja, eine Checkliste zu haben, mit der ich Datenschutzerklärungen von Newsletter gegenlesen kann oder die ich Anbietern als Anfrage schicken kann. Es ist schließlich auch entscheidend für mich, wer die Daten wofür nutzt und sie mit wem teilt bzw. wann sie wieder gelöscht werden. Und wem ich meine Daten gönne, hat viel mit diesem Handling zu tun – das sicherlich auch bei vielen guten NGOs verbesserungswürdig ist.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.